黑灰产监控与防御 ｜ 青训营笔记

• 这是我参与「第五届青训营 」伴学笔记创作活动的第 11 天

1. 国内黑灰产介绍

• 一些常见的黑产：

  诈骗、薅羊毛、黄牛、博彩、引流、跑分、木马、钓鱼、病毒、拖库、盗号、勒索软件

1.1 黑色产业规模

• 中国“网络黑产”从业人员已超过150万，市场规模已经达到千亿级别——中国法院网2017年
• 截止到2022年12月，haveibeenpwned已收录了约120亿条账密数据
• 某互联网风控公司统计，2018年各类黑产攻击（业务层）总数超过300亿次
• 据不完全统计，2019年全网约有5000万左右的非实名手机卡被频繁使用用于各种欺诈活动
• 据不完全统计，仅中国境内每天约有350-400万个代理IP被用于各类欺诈活动
• ……

1.2 黑产团伙的发展趋势

0. 规模化

   • 借助脚本、软件来实现攻击的批量化
   • 上游各类资源丰富，大大降低攻击成本，同时攻击成功率也比较高

1. 组织化

   • 多数以工作室的形式运作
   • 团伙内多人分工明确，合作紧密
   • 某些黑产甚至成立了公司

2. 平台化

   • 今年来出现了很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDoS攻击工具，攻击成本大大降低，且难以追查
   • 各类平台将黑产手中的零散资源进行整合

2. 常见的黑产技术分析

0. 2018年某银行业务逻辑漏洞（已修复）

开户流程：实名认证->绑定银行卡->审核开户

• 提交假的身份证
• 修改数据包

2. 人脸对抗识别

从照片到人脸3D模型

3. 地理位置对抗

不正常用户的定位分布呈矩形，可能会在海上

• 定位打卡
• 摇一摇附近的人
• 出租车抢单
• 某些线下使用的优惠

3. 安全防护体系的建设

0. 事前

   • 情报监控

     • 暗网
     • 贴吧
     • TG
     • 破解论坛

   • SDLC

   • 漏洞扫描

1. 事中

   • 渗透测试

   • 威胁感知

     • 用户行为异常
     • 接口数据异常
     • 恶意流量检测

   • 风控/安全策略

2. 事后

   • 威胁建模
   • 攻击溯源